No dia 09 de julho de 2019, foi publicada a Lei nº 13.853/2019, que cria a Autoridade Nacional de Proteção de Dados no Brasil, ou ANPD.
A ANPD entra para a lista das diversas siglas de órgãos governamentais (ANCINE, ANVISA, ANATEL, etc.) e será a responsável por fiscalizar a correta adoção da coleta, tratamento e compartilhamento de dados pessoais – essencial para o bom andamento e a correta implementação da LGPD no país.
Seu objetivo, portanto, é fiscalizar, controlar e, se for o caso, multar as empresas que lidam com dados pessoais e privacidade.
Ela é o grau máximo, hierarquicamente, na esfera administrativa da Lei Geral de Proteção de Dados. Este fator não elimina o poder de fiscalização de outros órgãos, apenas define a limitação de suas competências.
Dentre as principais atribuições da ANPD, temos:
- Estabelecer os padrões técnicos para o cumprimento da lei;
- Determinar os requisitos necessários para a elaboração dos Relatórios de Impacto;
- Fiscalização e aplicação de advertências, multas e demais sanções;
- Celebrar compromissos com as empresas;
- Comunicar às autoridades competentes as infrações penais das quais obtiver o conhecimento;
- Receber e processar toda e qualquer reclamação de pessoa física titular de dados;
- Atividades para difundir e educar a população sobre a LGPD.
A cargo dessas atribuições, teremos um conjunto de profissionais distribuídos por diferentes setores.
A estrutura da ANPD
A Autoridade Nacional de Proteção de Dados foi criada com uma estrutura que se organiza em 6 setores:
Conselho Diretor
Será formado por 5 membros, responsáveis por administrar, planejar e tomar decisões pertinentes ao bom funcionamento da LGDP. Um Diretor-Presidente será designado para encabeçar o Conselho.
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Possuindo uma formação de diversos nichos, será composto por 23 membros da sociedade, sem direito a voto nas tomadas de decisões da ANPD. Conforme o Artigo 58 da lei, desses 23, serão:
- 5 (cinco) do Poder Executivo federal;
- 1 (um) do Senado Federal;
- 1 (um) da Câmara dos Deputados;
- 1 (um) do Conselho Nacional de Justiça;
- 1 (um) do Conselho Nacional do Ministério Público;
- 1 (um) do Comitê Gestor da Internet no Brasil;
- 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
- 3 (três) de instituições científicas, tecnológicas e de inovação;
- 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
- 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e
- 2 (dois) de entidades representativas do setor laboral.
Corregedoria
Setor especializado na apuração de erros ou práticas que não estejam em conformidade com a lei. Em caso de erros dos agentes públicos, o setor será o responsável por aplicar as penalidades necessárias.
Ouvidoria
Especializado em atender a população, é a ponte entre os titulares dos dados e a ANPD, responsável por atender a reclamações, dúvidas e mensagens, em geral.
Órgão de assessoramento jurídico próprio
É o setor especializado em consultoria e assistência jurídica na aplicação da LGPD, para pessoas físicas e jurídicas. É quem vai apoiar a implementação da lei esclarecendo as principais dificuldades que possam ser apresentadas durante os projetos de compliance.
Unidades administrativas e especializadas
Setor formado por diversos órgãos, que serão os responsáveis diretos pela aplicação do que dispõe a Lei Geral de Proteção de Dados.
Competências da ANPD
Segundo o Artigo 55 da Lei Geral de Proteção de Dados, compete à ANPD:
- I – zelar pela proteção dos dados pessoais, nos termos da legislação;
- II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
- III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
- VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
- IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
- X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
- XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
- XII – elaborar relatórios de gestão anuais acerca de suas atividades;
- XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
- XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
- XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
- XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
- XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
- XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
- XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
- XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
- XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
- XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
- XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
- XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
Sanções da LGPD
Ao sancionar a Lei Geral de Proteção de Dados, o governo brasileiro espera que todas as empresas façam cumprir a força da lei e sigam seus requisitos. Porém, em caso de organizações infratoras, existem punições previstas no texto que vão desde uma advertência até uma multa de até 50 milhões de reais.
O intuito da lei é criar uma cultura de privacidade no ambiente de negócios brasileiro. Por essa razão, as penalidades sempre seguirão critérios objetivos, de modo que a valorização da cultura de proteção de dados seja incentivada, enquanto a de displicência, punida.
Se o controlador (empresas e organizações) não cumprir com o exigido, a ANPD é a responsável por aplicar advertências, penalidades e, dependendo da gravidade do caso, multas, como veremos a seguir:
Advertência
A ANPD pode advertir formalmente uma organização a fim de permitir que ela corrija as infrações sem maiores consequências. Será fornecido um prazo para adoção das medidas corretivas determinadas pelo órgão.
Multa simples
O valor da multa será de até 2% do faturamento da pessoa jurídica no seu último exercício. O teto será de R$ 50 milhões por infração e os valores das multas arrecadadas com a fiscalização da ANPD em conformidade com a Lei Geral de Proteção de dados serão destinados ao Fundo de Defesa de Direitos Difusos.
Multa diária
Além da multa simples, poderá ser instituída uma multa diária. O limite continua sendo de R$ 50 milhões por infração.
Publicitação da Infração
Divulgação pública da infração da empresa, nos meios de comunicação pertinentes, explicitando os delitos cometidos em toda a sua extensão.
Bloqueio dos Dados Pessoais
Os dados a que se referirem à infração serão bloqueados até que as autoridades competentes solucionem o caso. Impossibilitando o manejo e, por consequência, qualquer tipo de atividade ligados a eles.
Eliminação de Dados Pessoais
Os dados que caracterizaram a infração deverão ser apagados do sistema da empresa, ocasionando na perda de todo investimento efetuado na captação de tratamento desses dados.
Conclusão
Como foi criada muito recentemente, a real atuação da ANPD será revelada de forma fracionada. Nem por isso devemos subestimá-la. Você não vai querer descobrir seus efeitos na prática, certo?
A Compugraf conta com soluções de conformidade para sua empresa se adequar à LGPD o quanto antes! Clique aqui e converse com um dos especialistas em privacidade de dados para saber mais.